La Open Source Security Foundation (OpenSSF) ha lanzado Open Source Project Security Baseline (OSPS Baseline), un marco escalonado diseñado para estandarizar las prácticas de seguridad para Linux y otros proyectos de código abierto.
Esta iniciativa, alineada con regulaciones globales de ciberseguridad como la Ley de Resiliencia Cibernética (CRA) de la UE y el Marco de Desarrollo de Software Seguro (SSDF) del NIST, proporciona controles procesables para mitigar los riesgos en las cadenas de suministro de software.
OSPS Baseline clasifica los requisitos en tres niveles de madurez: Nivel 1 para proyectos incipientes, Nivel 2 para bases de código establecidas con múltiples mantenedores y Nivel 3 para proyectos ampliamente adoptados.
Cada nivel introduce controles granulares en cinco dominios: control de acceso, compilación y lanzamiento, documentación, calidad y legal.
- Aplicar la autenticación multifactor (MFA) para los colaboradores del repositorio que manejan datos confidenciales.
- Requerir identificadores de versión únicos (por ejemplo, SemVer, CalVer) para que las versiones realicen un seguimiento de los parches de seguridad.
- Mantener registros de control de versiones inmutables y auditables públicamente que detallen los cambios y los contribuyentes.
- Configurar canalizaciones de CI/CD con acceso con privilegios mínimos para evitar la escalada de privilegios a través de entradas que no son de confianza.
«Al establecer un marco escalonado que evoluciona con la madurez del proyecto, OSPS Baseline permite a los mantenedores y contribuyentes adoptar las mejores prácticas de seguridad que son escalables y sostenibles», Christopher Robinson, arquitecto jefe de seguridad de OpenSSF.
Los primeros en adoptarlo incluyen herramientas de gestión de dependencias como GUAC y bomctl, que implementaron los flujos de trabajo de informes de vulnerabilidades de OSPS-VM-04.01.
OpenTelemetry adoptó el refuerzo de la canalización de compilación de OSPS-BR-05.01, mientras que OpenVEX integró la generación automatizada de SBOM según OSPS-QA-02.01.
«Hemos recibido comentarios útiles de los proyectos involucrados en la implementación piloto, incluidos los compromisos de adopción de GUAC, OpenVEX, bomctl y Open Telemetry», dijo Stacey Potter, gerente de la comunidad independiente de código abierto, después de ayudar a liderar los esfuerzos piloto de OSPS Baseline.
«Nuestro objetivo es eliminar las conjeturas y ayudar a los encargados de mantenimiento a sentirse seguros de su situación, sin añadir estrés adicional».
«El lanzamiento de OSPS Baseline es un paso importante para abordar de manera eficiente la seguridad y la resiliencia de los proyectos de código abierto», Eddie Knight, líder de la oficina del programa de código abierto en Sonatype y líder del proyecto OSPS Baseline.
«Los administradores del código abierto, los fabricantes que dependen del código abierto y los usuarios finales se beneficiarán a largo plazo, ya que este criterio definido por la comunidad arroja luz sobre las mejores prácticas de seguridad del proyecto».
En particular, Cloud Native Computing Foundation (CNCF) planea integrar comprobaciones OSPS en sus herramientas de auditoría basadas en SLSA.
Los desarrolladores pueden acceder a la especificación OSPS Baseline en baseline.openssf.org y contribuir a través del canal OpenSSF Slack #sig-security-baseline.
Las próximas mejoras incluyen guías de Ansible para implementación automatizada y alineación de perfiles SPDX 3.0.
